Passer au contenu

RGPD : comment les sites manipulent les internautes pour installer leurs cookies

En étudiant 10 000 sites, des chercheurs américains ont pu constater les techniques mises en place sur les sites pour obtenir l’accord d’installer leurs cookies. Près de 90 % ne respectent ainsi pas le RGPD. 

Le RGPD est-il scrupuleusement respecté par les sites ? Presque deux ans après son entrée en vigueur (en mai 2018), des chercheurs ont étudié de près les Consent Management Platforms (CMP), ces bannières ou pop-up qui demandent à l’internaute son accord pour installer des cookies sur sa machine. 

C’est peu dire que le résultat n’est pas brillant : seulement 11,8 % des CMP répondent aux exigences minimales du Règlement général sur la protection des données européen. Celles-ci sont simples : aucune case ne doit être pré-cochée, le rejet doit être aussi simple que l’acceptation et le consentement doit être explicite. 

Pour parvenir à cette conclusion, les chercheurs de l’université Cornell (État de New York) ont analysé les 10 000 sites les plus populaires du Royaume-Uni. Leurs CMP sont conçus par les cinq acteurs du marché : QuantCast, OneTrust, TrustArc, Cookiebot and Crownpeak. 

680 interfaces différentes

Première constatation, ce ne sont pas moins de 680 variantes de CMP qui sont utilisées par ces sites. Seconde constatation, le consentement implicite (simplement en visitant le site ou en faisant défiler la page), qui est illégal, est utilisé par 32,5 % des sites. 

Et les entorses au RGPD continuent. La moitié des sites fait en sorte que rejeter tous les cookies soit plus difficile que de les accepter. Seulement 12,6 % des sites affichent un bouton « Tout refuser » accessible avec un même nombre de clics que le bouton « Tout accepter ». 

Ce dernier n’est jamais dissimulé dans un niveau inférieur de l’interface de la CMP, quand 74,3 % des boutons « Tout refuser » se trouvent au second niveau, nécessitant ainsi deux clics. 0,9 % des sites poussent même plus loin la pratique en cachant ce bouton au troisième niveau, nécessitant ainsi au moins trois clics pour refuser l’installation des cookies. 

Décocher les cases prend du temps

Les cases pré-cochées sont aussi massivement utilisées dans les interfaces des CMP, puisque 56,2 % les pratiquent. Et les décocher peut prendre beaucoup de temps : les plates-formes affichent de quelques dizaines à plusieurs centaines de cookies. 

Le record constaté par les chercheurs est ainsi de 542 sur une CMP de QuantCast. Bien entendu, aucun bouton « Tout rejeter » n’était proposé dans ce cas, il faut donc tout décocher manuellement. 

Un but largement atteint

Les chercheurs de l’université Cornell ont également mené une étude comportementale auprès de 40 participants utilisant les 8 interfaces les plus communes de CMP. Et autant dire que le but de ces plates-formes est largement atteint. 

Lorsqu’il n’y avait qu’une simple bannière, les utilisateurs n’ont jamais refusé l’installation des cookies et ont continué à surfer sur le site comme si de rien n’était. Afficher seulement le bouton « Tout accepter » et pas celui « Tout refuser » sur la première page, permet d’augmenter le taux de consentement de 23 points. 

Un challenge pour l’UE

Après avoir interrogé les participants à la fin de l’étude, les chercheurs concluent donc à une volonté de manipuler les comportements des internautes et de les mettre face à une situation qui les pousse à donner leur consentement sans le vouloir réellement. 

L’application à la lettre du RGPD est donc, selon eux, le futur grand challenge de l’Union européenne. Elle pourrait par exemple n’autoriser sur le marché que les CMP respectant le règlement. En attendant, des chercheurs ont mis au point une extension pour Chrome et Firefox qui permet de répondre automatiquement aux CMP. 

Source : Université Cornell

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jean-Sébastien Zanchi